Lässt sich die Cloud versichern?

Thomas Pache Dipl.-Ing., Dipl. Wirtschaftsing. 15.11.2011 Lässt sich die Cloud versichern? Thomas Pache

Lässt sich die Cloud versichern? Die Antwort: Nicht als Ganzes! Für Nutzer im Falle eigener Schäden derzeit kaum! Im Fall von Schadenersatzforderungen Dritter für Nutzer: Derzeit nur in marginalem Umfang! für Cloud-Dienstleister: In ausreichendem Umfang nur über wenige Anbieter! Aber: Durch geschickte Vertragskonstellationen ist eine ausreichende Absicherung auch für Nutzer möglich! 1

Inhalt Begriffliche Abgrenzung Definitionen der Cloud Abgrenzung zu anderen ITK-Betriebsmodellen Risiken, Schadenursachen und wirkungen Die Cloud im Spiegel marktüblicher Versicherungen Sichtweise der Versicherer Sparten und Konzepte Eigene Schäden Schadenersatzansprüche Dritter Schlussfolgerungen Handlungsempfehlungen für Unternehmen 2

Lässt sich die Cloud versichern? Begriffliche Abgrenzung 3

Cloud (Computing) Definitionen Deutsches Institut für Normung (DIN): Die gemeinsame Arbeitsgruppe von ISO und IEC nimmt die Arbeit auf (17.10.2011). Ziel: Konkrete Normungsvorschläge für Rechnen in den Wolken Wikipedia (letzte Änderung: 8.11.2011) ITWissen (Das große Online-Lexikon für Informationstechnologie) National Institute for Standards and Technology (NIST): The NIST Definition of Cloud Computing (09/2011) 4

Wer oder was soll wogegen versichert werden? Cloud- / ITK-Dienstleister (Leistungserbringer) Cloud-Serviceanbieter / -Dienstleister Quelle: http://cloudcomputingcompanies.me/ 5

Servicemodelle in der Cloud Quelle: www.spirofrog.de 6

Wer oder was soll wogegen versichert werden? Cloud-Nutzer (Leistungsempfänger) Privatpersonen Unternehmen, die IT- und Kommunikations- Infrastrukturen / Datenspeicherplatz, Plattformen, Software / Anwendungen, für die Umsetzung ihrer Geschäftsmodelle nutzen. Quelle: TU Berlin 7

Wer oder was soll wogegen versichert werden? Was soll versichert werden? Fehlfunktionen? Reparatur kosten? Auditkosten? Ausfallschäden? Datenverlust? Daten diebstahl? Strafzahlungen? Entgangene Gewinne? Imageverlust? Spionageschäden? EDoS-Attacken http://www.scribd.com/doc/34053080/wer-klaut-in-der-cloud-chancen-und-risiken-des-cloud-computings Quelle: http://www.silicon.de/ 8

Schadenursachen und wirkungen (IT-Sicherheit) Verfügbarkeit Ausfall der Cloud-Services Datenverlust Vertraulichkeit Zugriffsrechtefehler / Hacking Datenschutz (BDSG) Datensicherheit (Geschäftsgeheimnisse) Integrität Manipulation von Daten Programmen Prozessen Personen-, Sach- und Vermögensschäden Authentizität Hacker 9

Lässt sich die Cloud versichern? Lässt sich die Cloud versichern? Die Cloud im Spiegel üblicher Unternehmensversicherungen

Sichtweise der Versicherer Spartensicht Schadenarten Sachversicherung o Feuer, Einbruch, Diebstahl-Versicherung o Technische Versicherung o All-Risk-Versicherung o Betriebsunterbrechungsversicherung Haftpflichtversicherung (gesetzl. vs. vertragl. Haftpflicht) o Betriebshaftpflichtversicherung o Produkthaftpflichtversicherung o Vermögensschadenhaftpflichtversicherung Andere o Vertrauensschadenversicherung o K&R-Versicherung o D&O-Versicherung o Individualkonzepte Personenschäden Sachschäden Vermögensschäden 11

Eigene Schäden Sind Vermögensschäden aus Cloud-Risiken versicherbar??????? Sachversicherung o Feuer, Einbruch, Diebstahl-Versicherung o Technische Versicherung o All-Risk-Versicherung o Betriebsunterbrechungsversicherung / Software-BU Haftpflichtversicherung (gesetzl. vs. vertragl. Haftpflicht) o Betriebshaftpflichtversicherung o Produkthaftpflichtversicherung o Vermögensschadenhaftpflichtversicherung o Spezialkonzepte Andere o Vertrauensschadenversicherung o K&R-Versicherung o D&O-Versicherung o Spezial -Konzepte o Rechtschutzversicherung 12

Schadenersatzansprüche Dritter Sind Vermögensschäden aus Cloud-Risiken versicherbar?? Sachversicherung o Feuer, Einbruch, Diebstahl-Versicherung o Technische Versicherung o All-Risk-Versicherung o Betriebsunterbrechungsversicherung / Software-BU Haftpflichtversicherung (gesetzl. vs. vertragl. Haftpflicht) o Betriebshaftpflichtversicherung o Produkthaftpflichtversicherung o Vermögensschadenhaftpflichtversicherung o Individualkonzepte Andere o Vertrauensschadenversicherung o K&R-Versicherung o D&O-Versicherung o Spezial -Konzepte o Rechtsschutzversicherung 13

Lässt sich die Cloud versichern? Handlungsempfehlungen für Unternehmen 14

Handlungsempfehlungen für Unternehmen Aspekt theoretische Handlungsmöglichkeiten Sachversicherung Vertragliche Überwälzung des Ausfallrisikos (Eigenschadenanteil) auf den Cloud-Service- Anbieter mittels Pönalen, pauschalierten Entschädigungszahlungen oder Haftung (zuges. Eigenschaften der Dienstleistung) Abschluss einer Daten-BU (sofern möglich) ohne Notwendigkeit eines Sachschadens Haftpflichtversicherung Freistellung von Schadenersatzansprüchen Dritter Mitversicherung in (adäquater => zeigen lassen!) Haftpflichtdeckung des Cloud-Service-Anbieters Deckungsumfang prüfen auf: Territorialer Geltungsbereich Versicherte Ursachen Versicherte Folgen / Wirkungen Versicherungssummen, Sublimits und Selbstbeteiligungen Ausschlüsse (z.b. Regressausschluss) 15

Handlungsempfehlungen für Unternehmen Erster Schritt Risiko analysieren: Identifikation der ITK-Schadenszenarien, die kritisch für den Unternehmenserfolg bzw. das -überleben sein können. Prüfung inwiefern Risiken bereits wirksam überwälzt wurden an Geschäftspartner (Zulieferer, Kunden) Versicherungen Ergebnis: Kritisches Delta I Risikominimierung (-vermeidung / -abwälzung / -übertragung): Prüfen inwiefern organisatorische Maßnahmen oder vertragliche Regelungen (Haftungsregelungen, Freistellungen, qualifizierte Versicherungsnachweise*, ) mit Geschäftspartnern getroffen werden können. Prüfung inwiefern kritische Szenarien von angebotenen Versicherungslösungen umfasst werden können Ergebnis: Kritisches Delta II Ggf. Einholen einer zweiten (Fach-)Meinung 16

Thomas Pache Dipl.-Ing., Dipl. Wirtschaftsing. Telef.: +49 40 4804136 Curschmannstrasse 10 Mobil: +49 171 4967573 20251 Hamburg E-Mail: thomaspachehh@aol.com